快捷導(dǎo)航

SpringBoot項目的漏洞修復(fù)經(jīng)驗分享

更新時間：2024年10月08日 08:44:37 作者：上任碼農(nóng)

在局域網(wǎng)環(huán)境下,由于無法連接外網(wǎng)下載Maven包,常見解決方案是在外網(wǎng)環(huán)境搭建相同的開發(fā)環(huán)境以便更新Maven包,本次漏洞掃描包括Tomcat、jackson-databind、fastjson、logback等組件,通常解決方法是升級到更高版本

SpringBoot項目的漏洞修復(fù)經(jīng)驗

說明

開發(fā)環(huán)境屬于局域網(wǎng)環(huán)境，與外網(wǎng)不通

導(dǎo)致下載maven包時會遇到各種版本依賴問題

最好的辦法就是在外網(wǎng)環(huán)境搭建一套一樣的開發(fā)環(huán)境，這樣便于更新maven包

本次漏洞掃描涉及到的漏洞有

Tomcat、jackson-databind、fastjson、logback等，普遍解決方法都是通過升級版本。

1、Tomcat版本升級

（1）查看當前Tomcat版本，可以通過項目啟動的日志可以看到；還有一種方法是通過idea編輯器右邊導(dǎo)航欄中的Maven中的dependencies，查看Tomcat的版本。

（2）在父pom.xml文件中更新spring-boot-starter-parent版本，其中spring-boot-starter-parent版本對應(yīng)的Tomcat版本可以在maven資源庫中搜索得到https://mvnrepository.com/。

2、jackson-databind版本升級

（1）查看當前版本的jackson-databind可以通過idea編輯器右邊導(dǎo)航欄中的Maven中的dependencies，查看jackson-databind版本。

（2）在父pom.xml中添加

<properties>
	<jackson.version>${所需的jackson版本}</jackson.version>
</properties>

3、fastjson版本升級

（1）這個升級就比較簡單了，在pom.xml中找到對應(yīng)的fastjson依賴，修改版本即可。

4、logback版本升級

（1）HIDS掃描的漏洞顯示的是logback-classic版本有問題，故只需升級logback-classic版本即可。

（2）在pom.xml文件中添加內(nèi)容如下：

<dependency>
	<groupId>ch.qos.logback</groupId>
	<artifactId>logback-classic</artifactId>
	<version>${所需版本號}</version>
</dependency>

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

Spring Boot項目添加外部Jar包以及配置多數(shù)據(jù)源的完整步驟
這篇文章主要給大家介紹了關(guān)于Spring Boot項目添加外部Jar包以及配置多數(shù)據(jù)源的相關(guān)資料，文中通過示例代碼介紹的非常詳細，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧
2020-06-06
一篇文章帶你了解JAVA面對對象應(yīng)用
Java是一門面向?qū)ο蟮恼Z言。對象是Java程序中的基本實體。除了對象之外Java程序同樣處理基本數(shù)據(jù)。下面這篇文章主要給大家總結(jié)了關(guān)于Java中面向?qū)ο蟮闹R點，需要的朋友可以參考借鑒，下面來一起看看吧
2021-08-08
Java中的SynchronousQueue阻塞隊列及使用場景解析
這篇文章主要介紹了Java中的SynchronousQueue阻塞隊列及使用場景解析,SynchronousQueue 是 Java 中的一個特殊的阻塞隊列,它的主要特點是它的容量為0,這意味著 SynchronousQueue不會存儲任何元素,需要的朋友可以參考下
2023-12-12
解讀synchronized鎖的釋放機制
這篇文章主要介紹了synchronized鎖的釋放機制,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2025-04-04
SpringBoot中的FailureAnalyzer使用詳解
這篇文章主要介紹了SpringBoot中的FailureAnalyzer使用詳解,Spring Boot的FailureAnalyzer是一個接口,它用于在Spring Boot應(yīng)用啟動失敗時提供有關(guān)錯誤的詳細信息,這對于開發(fā)者來說非常有用,因為它可以幫助我們快速識別問題并找到解決方案,需要的朋友可以參考下
2023-12-12
詳解idea文件右鍵創(chuàng)建New沒有Create New Servlet的解決辦法
這篇文章主要介紹了詳解idea文件右鍵創(chuàng)建New沒有Create New Servlet的解決辦法，文中通過示例代碼介紹的非常詳細，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2020-12-12
Java下http下載文件客戶端和上傳文件客戶端實例代碼
這篇文章主要介紹了Java下http下載文件客戶端和上傳文件客戶端實例代碼,非常不錯，具有參考借鑒價值，需要的朋友可以參考下
2017-12-12
Java開發(fā)常見異常及解決辦法詳解
這篇文章主要介紹了java程序常見異常及處理匯總,文中通過示例代碼介紹的非常詳細，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友可以參考下
2021-09-09
Mybatis控制臺打印Sql語句的實現(xiàn)代碼
MyBatis是一個支持普通SQL查詢，存儲過程和高級映射的優(yōu)秀持久層框架，下面給大家介紹Mybatis控制臺打印Sql語句的實現(xiàn)代碼，非常不錯，感興趣的朋友一起看下吧
2016-07-07
idea啟動報錯:Command line is too long問題
在使用IDEA時,若遇到"Commandlineistoolong"錯誤,通常是因為命令行長度超限,這是因為IDEA通過命令行或文件將classpath傳遞至JVM,操作系統(tǒng)對命令行長度有限制,解決方法是切換至動態(tài)類路徑,通過修改項目的workspace.xml文件
2024-09-09